**कल्पना कीजिए:** आपका लैपटॉप, जो रात भर कोडिंग में लगा हुआ था, अचानक एक अनजान हैकर के हाथों में चला जाए—उसके पास आपकी पूरी सिस्टम तक पहुंच हो, आपकी फाइलें, आपकी प्राइवेसी, सब कुछ! और सबसे बुरा? आपने तो बस एक वेब ऐप बनाया था, जो macOS या Linux पर चल रहा था। मगर आज सुबह उठकर देखा तो पता चला—Microsoft ने एक ‘इमरजेंसी पैच’ निकाला है, क्योंकि उनके ASP.NET Core फ्रेमवर्क में ऐसा खौफनाक बग है, जो हैकर्स को बिना पासवर्ड के ही आपके पूरे सिस्टम पर कब्जा करने का मौका दे रहा है। **हैरान करने वाली बात ये है:** पैच लगाने के बाद भी, अगर किसी हैकर ने पहले ही आपके सिस्टम में सेंध लगा ली थी, तो वो आपके ‘फॉरज्ड क्रेडेंशियल्स’ के जरिए हमेशा के लिए अंदर बैठा रह सकता है। मतलब—आपका कंप्यूटर अब भी खतरे में है, भले ही आपने अपडेट कर लिया हो! **सच्चाई इससे भी भयानक है:** Microsoft खुद कह रहा है कि अगर कोई हैकर इस बग का फायदा उठाकर आपके सिस्टम में SYSTEM लेवल की पहुंच बना लेता है, तो वो आपके ऐप्स को ‘लीगिटिमेटली-साइनड टोकन्स’ (जैसे पासवर्ड रीसेट लिंक, API की, सेशन रिफ्रेश टोकन्स) तक बना सकता है—और वो टोकन्स कभी एक्सपायर नहीं होंगे, जब तक आप ‘डेटा-प्रोटेक्शन की-रिंग’ को रोटेट नहीं करते! **तो सवाल उठता है:** क्या आपने आज तक अपना ASP.NET Core अपडेट किया है? अगर नहीं, तो आपका सिस्टम पहले ही हैक हो चुका हो सकता है—और आप अभी तक उसे पकड़ भी नहीं पाए होंगे।
**मंजर कुछ ऐसा है:** कल रात, Microsoft के सिक्योरिटी टीम ने पाया कि उनके ASP.NET Core फ्रेमवर्क के ‘Microsoft.AspNetCore.DataProtection NuGet पैकेज’ में एक ऐसा क्रिप्टोग्राफिक बग है, जो हैकर्स को ‘HMAC वेरिफिकेशन’ को बायपास करने का मौका देता है। मतलब—जब आपका सर्वर किसी क्लाइंट से डेटा रिसीव करता है, वो ये वेरिफाई नहीं कर पाता कि वो डेटा असली है या नकली। और इसी खामी का फायदा उठाकर, एक अनऑथेंटिकेटेड हैकर आपके सिस्टम में ‘फॉरज्ड ऑथेंटिकेशन पेलोड्स’ भेज सकता है—जो आपके सर्वर को धोखा देकर उसे विश्वास दिला देते हैं कि वो एक ‘प्रिविलेज्ड यूजर’ है। **और फिर?** बस! हैकर के पास आपके पूरे सिस्टम तक पहुंच हो जाती है—बिना किसी पासवर्ड के, बिना किसी अलर्ट के।
Microsoft ने इस बग को ‘CVE-2026-40372’ नाम दिया है और इसे ‘हाई-सीवेरिटी’ कैटेगरी में रखा है। ये बग उन सभी डिवाइसेज को प्रभावित करता है, जो Linux या macOS पर ASP.NET Core फ्रेमवर्क (वर्जन 10.0.0 से 10.0.6) चला रहे हैं। **लेकिन सबसे बड़ा धोखा ये है:** अगर आपने इस दौरान कोई ‘लीगिटिमेट साइनड टोकन’ (जैसे पासवर्ड रीसेट लिंक) जनरेट किया था, तो वो टोकन हैकर के पास भी चला जाएगा—और वो उसे हमेशा के लिए इस्तेमाल कर सकता है, जब तक आप ‘की-रिंग’ को रोटेट नहीं करते।
Microsoft का कहना है कि ASP.NET Core एक ‘हाई-परफॉरमेंस’ वेब डेवलपमेंट फ्रेमवर्क है, जो Windows, macOS, Linux और Docker पर चलता है। मगर आज के दौर में, जब हैकर्स हर दिन नए-नए तरीके ढूंढ रहे हैं, ऐसे फ्रेमवर्क में मौजूद बग्स किसी भी डेवलपर के लिए ‘टाइम बम’ साबित हो सकते हैं। **और अफसोस की बात ये है:** ज्यादातर डेवलपर्स को इस बात का अंदाजा ही नहीं होगा कि उनका ऐप कितना खतरनाक साबित हो सकता है—जब तक कि कोई हैकर उन्हें इसकी कीमत न चुकानी पड़े।
**अब सवाल उठता है:** क्या आपने आज तक अपना ASP.NET Core अपडेट किया है? अगर नहीं, तो आपका सिस्टम पहले ही हैक हो चुका हो सकता है। और सबसे बड़ी बात—अगर आपने पहले ही ‘फॉरज्ड टोकन्स’ जनरेट कर लिए हैं, तो वो हैकर्स के पास भी हैं। **तो क्या आप अभी तक सुरक्षित हैं?**
**इस बग का इतिहास और गहराई से समझें:** ASP.NET Core फ्रेमवर्क Microsoft का एक प्रमुख टूल है, जिसका इस्तेमाल दुनिया भर के लाखों डेवलपर्स वेब ऐप्स बनाने के लिए करते हैं। मगर पिछले कुछ सालों में, इस फ्रेमवर्क में कई सिक्योरिटी बग्स सामने आए हैं—जिनमें से कुछ ने हैकर्स को ‘रिमोट कोड एक्जीक्यूशन’ तक का मौका दिया है। **मगर CVE-2026-40372 इससे भी खतरनाक है**, क्योंकि ये हैकर्स को ‘अनऑथेंटिकेटेड एक्सेस’ देता है—मतलब बिना किसी पासवर्ड के ही सिस्टम पर कब्जा।
Microsoft ने इससे पहले भी कई बार ऐसे इमरजेंसी पैच निकाले हैं, मगर इस बार का बग इतना खतरनाक है कि इसे ‘क्रिटिकल’ कैटेगरी में रखा गया है। **और सबसे बड़ी चिंता की बात ये है:** अगर कोई हैकर इस बग का फायदा उठाकर आपके सिस्टम में SYSTEM लेवल की पहुंच बना लेता है, तो वो आपके पूरे नेटवर्क को भी निशाना बना सकता है।
**तो क्या करें?** अगर आप ASP.NET Core का इस्तेमाल कर रहे हैं, तो तुरंत अपना फ्रेमवर्क अपडेट करें—वर्जन 10.0.7 या उससे ऊपर। मगर ध्यान रखें—अगर आपने पहले ही ‘फॉरज्ड टोकन्स’ जनरेट किए हैं, तो उन्हें तुरंत रोटेट करें। **और सबसे जरूरी बात:** अपने सिस्टम को स्कैन करें—क्या कहीं कोई अनजान प्रोसेस तो नहीं चल रही? क्या कोई ऐसा यूजर तो नहीं बना दिया गया, जिसका आपको पता नहीं?
**क्योंकि आज का अपडेट कल के लिए बहुत देर हो सकती है।**
